绿盟科技技术博客

Zabbix SQL注入漏洞技术分析与防护方案

2016-08-18李东宏sql注入漏洞, Zabbix, Zabbix SQL注入漏洞, Zabbix 注入漏洞, Zabbix 漏洞, Zabbix 高危SQL注入漏洞, Zabbix高危SQL注入漏洞威胁, 绿盟科技

2016年8月12日，1n3通过邮件披露了Zabbix软件的jsrpc.php文件在处理profileIdx2参数时存在insert方式的SQL注入漏洞，与官方通告的latest.php文件在处理toggle_ids参数时存在insert方式的SQL注入漏洞属于同一类型的漏洞，只是攻击的位置不同。

【预警通告】Zabbix SQL注入漏洞威胁

2016-08-18绿盟科技sql注入漏洞, Zabbix, Zabbix SQL注入漏洞, Zabbix 注入漏洞, Zabbix 漏洞, Zabbix 高危SQL注入漏洞, Zabbix高危SQL注入漏洞威胁, 绿盟科技

2016年8月12日，Zabbix软件被爆jsrpc的profileIdx2参数存在insert方式的SQL注入漏洞，同时官方公布修复了latest.php的toggle_ids参数insert方式的SQL注入漏洞，攻击者无需登录即可通过script等功能直接获取服务器的操作系统权限，经过分析发现Zabbix默认开启了guest权限，且默认密码为空。

Memcache未授权访问漏洞利用及修复

2016-08-17ahomememcache 命令, memcache 授权, Memcache未授权访问, Memcache未授权访问漏洞, Memcache漏洞

memcached是一套分布式的高速缓存系统。它以Key-Value（键值对）形式将数据存储在内存中，这些数据通常是应用读取频繁的。正因为内存中数据的读取远远大于硬盘，因此可以用来加速应用的访问。

解读银监办发[2016]107号文

2016-08-16绿盟科技关键信息基础设施, 关键信息基础设施网络安全, 国家关键信息基础设施, 基础设施安全检查相关工作, 网络安全检查, 解读银监办发文, 银行业网络安全风险专项评估

2016年6月27日银监办发[2016]107号《中国银监会办公厅关于开展银行业网络安全风险专项评估治理及配合做好关键信息基础设施网络安全检查工作的通知》（简称“通知”）正式发布。通知指出，银行业网络和重要信息系统是国家关键信息基础设施，为进一步加强互联网安全风险应对，提升银行业整体防护能力，按照国家关键信息基础设施保护、网络安全风险专项应对工作的整体安排，决定组织开展银行业网络安全风险专项评估治理工作。同时，根据中央网信办《关于开展关键信息基础设施网络安全检查的通知》（中网办发文[2016]3号）的要求，需要各银监局、银行业金融机构认真做好国家关键信息基础设施网络安全检查相关工作。